LINUX.ORG.RU
ФорумAdmin

Права доступа к принтеру в Samba для конкретного пользователя AD


0

1

Конфиг самбы , самба член домена KAR, drychkov юзер домена и админ:

[global]
        workgroup = KAR
        realm = KAR.LOCAL
        server string = comp1
        security = ADS
        map to guest = Bad User
        obey pam restrictions = Yes
        pam password change = Yes
        passwd program = /usr/bin/passwd %u
        passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
        unix password sync = Yes
        syslog = 0
        log file = /var/log/samba/log.%m
        max log size = 1000
        dns proxy = No
        usershare allow guests = Yes
        panic action = /usr/share/samba/panic-action %d
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        template shell = /bin/bash
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        winbind refresh tickets = Yes

[home]
        comment = home
        path = /var/share
        valid users =  KAR\drychkov
        read only = No
        guest ok = Yes

[printers]
        comment = All Printers
        path = /var/spool/samba
        read only = No
        create mask = 0777
        guest ok = Yes
        printable = Yes
        browseable = No
        browsable = No

[print$]
        comment = Printer Drivers
        path = /var/lib/samba/printers
        read only = No
        guest ok = Yes

Вот так все работает :

# net rpc rights grant Everyone SePrintOperatorPrivilege
Enter root's password:
Successfully granted rights.
Даже так работает:
# net rpc rights grant Everyone SePrintOperatorPrivilege -U drychkov
Enter drychkov's password:
Successfully granted rights.

А вот так:

# net rpc rights grant drychkov SePrintOperatorPrivilege
Enter root's password:
Failed to grant privileges for drychkov (NT_STATUS_ACCESS_DENIED)
В чем может быть причина? Как правильно добавить не для всех SePrintOperatorPrivilege, а конкретно для drychkov

PS пользователь drychkov без проблем подключается по ssh к серверу, и в папку [home] заходит, так что вроде самба и винбинд нормально работают.

# wbinfo -t
checking the trust secret via RPC calls succeeded

Так же выдают группы и пользователей комманды: # wbinfo -g # wbinfo -u



Последнее исправление: mag_box2 (всего исправлений: 3)
Ответ на: комментарий от zgen

Вот такие ответы :

# getent passwd drychkov
drychkov:*:10000:10039::/home/KAR/drychkov:/bin/bash
root@itpc3588:~# ntlm_auth --username=drychkov
password:
NT_STATUS_OK: Success (0x0)
mag_box2
() автор топика

И еще меня смущает ответ на комманду net rpc rights list accounts

 # net rpc rights list accounts -U root                      
Enter root's password:
BUILTIN\Print Operators
No privileges assigned

BUILTIN\Account Operators
No privileges assigned

BUILTIN\Backup Operators
No privileges assigned

ITPC3588\nobody
SePrintOperatorPrivilege

BUILTIN\Server Operators
No privileges assigned

BUILTIN\Administrators
SeMachineAccountPrivilege
SeTakeOwnershipPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeRemoteShutdownPrivilege
SePrintOperatorPrivilege
SeAddUsersPrivilege
SeDiskOperatorPrivilege

Everyone
SePrintOperatorPrivilege
Откуда взялись BUILTIN\Administrators, BUILTIN\Server Operators, BUILTIN\Backup Operators, BUILTIN\Print Operators ? Может дело в этом, и нужно их исправить на корректные , вместо BUILTIN мой домен KAR, ток где это меняется ? или может это не имеет значения

mag_box2
() автор топика
Ответ на: комментарий от mag_box2

Еще если закомментировать строку в конфиге самбы #security = ADS То будет так:

# net rpc rights grant root SePrintOperatorPrivilege
Enter root's password:
Successfully granted rights.

А если security = ADS

то так

# net rpc rights grant root SePrintOperatorPrivilege
Enter root's password:
Failed to grant privileges for root (NT_STATUS_ACCESS_DENIED)
mag_box2
() автор топика
Ответ на: комментарий от mag_box2

BUILTIN - это нормально. Это по терминологии винды «хорошо известные сущности»(не помню как по-английски будет, возможно перевод надмозговый).

Pinkbyte ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.